ASRC 2014 第二季電子郵件安全趨勢

2014年第二季,垃圾郵件佔全體流量沒有持續升高,但垃圾郵件用於規避偵測的方法卻始終沒有停止演進,垃圾郵件發送者開始大量利用編碼、HTML等相關特殊符號等交錯應用,達成規避偵測卻不妨礙收信者閱讀的區隔。本季出現的惡意郵件是較為棘手的,除了新出現的CryptoWall勒索病毒外,CVE-2014-1716漏洞被揭露時,也是一時無法可防的。

第二季電子郵件安全趨勢觀察

l   垃圾郵件佔比雖下滑,仍佔整體78%以上

2014年第二季,垃圾郵件佔全體流量沒有持續升高,但垃圾郵件用於規避偵測的方法卻始終沒有停止演進,佔全體郵件流的比例持續下滑,佔整體郵件的比例大約在78%~80%間。其中垃圾郵件比較大宗的發送國仍為中國。

l   威脅郵件中,以冒名偽造的郵件為最大宗

特別的是冒名的郵件佔比成了最大宗,帶有惡意檔案的郵件也較上一季上升不少。本季出現較大宗帶有連往釣魚網站超連結的郵件;冒名發信後,要求回信至與發信人完全無關的電子郵件位址郵件;以及冒名金融、第三方支付、快遞公司等的偽造郵件。

l   垃圾及釣魚郵件,使用特殊符號躲避防護機制掃瞄

垃圾郵件開始大量使用某些特殊符號來躲避垃圾郵件防護機制的掃瞄。這些特殊符號多半都可以被瀏覽器或發信軟體自動轉換為一般常見的符號,因此一般收信者在視覺或點擊操作上並不會察覺有異,但卻能成功躲過某些偵測機制。

而釣魚郵件也開始向垃圾郵件學習躲避被偵測的方法,故意在郵件內容中塞入大量垃圾字符(spammy),試圖躲避一般的判斷檢查。

l   詐騙郵件運用人性弱點進行社交工程攻擊

常見的詐騙郵件從來也沒有缺席,沒有太花俏的技術,純粹利用人心中的弱點,要求其回覆電子郵件,以便進行更進一步的社交工程攻擊。

l   發現夾帶CryptowWall 勒索病毒的郵件

此外,我們在第二季也發現了帶有CryptoWall勒索病毒郵件。

一旦遭到CrptoWall感染,並且連接網際網路的話,電腦中的重要檔案將被自動加密,即便清除CryptoWall病毒,也無法自行還原遭到加密的檔案。針對病毒,建議在事前經常進行備份並做好防範,付出「贖金」並不保證一定能獲得解密,而且會鼓舞此類犯罪的增長。

l   APT攻擊郵件十分活絡

利用PDF、Word弱點進行APT攻擊的郵件在第二季也十分活躍。除了舊有的文件閱讀器漏洞持續被利用外,2014年新發現的CVE-2014-1716的Microsoft Word RTF檔案讀取弱點也在被公布後,快速的被用以結合時事,並對相關政府單位進行APT攻擊。

垃圾郵件經常出現在你我的信箱中早已見怪不怪,甚少人會去追究垃圾郵件究竟是如何找上門的!或許,垃圾郵件本身並無大害,頂多算是一種叨擾,但若是特殊的攻擊郵件能直接命中標的,就不該再以忽視的角度來看待。第二季的樣本分析,看到了不少新的惡意郵件攻擊,若是您收到了這樣的郵件,除了不要任意開啟外,也建議您仔細觀察並思考這類惡意攻擊是從何而來。此外,對外公開的群組電子郵件帳號經常是惡意郵件發動起始攻擊的重要入口,對於開啟來自群組帳號的郵件應更加謹慎。

一般病毒信的擴散,多半由中毒的電腦群而來,它們擴散的標的可能是一組搜集好的名單,也可能是中毒電腦的通訊錄名單。若發現病毒或攻擊郵件來自自己認識的人,除了做好個人防範外,也應立即通知發信人盡快找出中毒或受駭的關鍵原因,避免再次遭到攻擊或與該發信人間的互動遭到第三方竊聽;企業單位也應經常檢視自有的Public IP是否被列入RBL,若有則通常代表著內部存在資安漏洞,應盡快尋求解決方法。

※關於ASRC垃圾訊息研究中心:
ASRC垃圾訊息研究中心(Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。